您当前位置: 首页 »

RFD

标签归档: RFD

关于RFD漏洞利用的一些思路

Black Hat Europe 2014会议上公布了一种新型的web攻击方式,即RFD(Reflected-File-Download)。Wooyun Drops也发布了关于此攻击方式的介绍。作者提到的利用方式要求攻击者可控文件名和内容,且非浏览器正常解析的content-type。我们对此漏洞利用做了分析跟进,发现结合部分浏览器html5的特性实现的BUG后,扩大了漏洞的利用场景。

还是先来看下Oren Hafif在google利用的例子。在facebook中插入的一个google链接

facebook

readmore